Upozornění: Tento článek obsahuje informace, které ukazují, jak řídit nastavení zabezpečení pro Office. V těchto nastaveních zabezpečení můžete udělat změny, abyste zvýšili nebo snížili pozici zabezpečení. Před provedením těchto změn doporučujeme vyhodnotit rizika spojená se změnami, které při konfiguraci tohoto nastavení nastavíte.
ÚVOD
Tento článek popisuje nastavení dostupná pro uživatele a správce IT, aby bylo možné určit, jestli a jak se objekty COM načítá, a to tak, že budou mít seznam de kill bitů Microsoft Office.
Další informace o chování deaktivování bitů v Internet Exploreru, na které je tato funkce založená, včetně toho, jak nastavit alternateclsidy, které umožňují načtení aktualizovaných ovládacích prvků ActiveX, najdete v tématu Jak zastavit spuštění ovládacího prvku ActiveX v Internet Exploreru.
Tyto pokyny platí pro Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.
De kill bit Office COM
De kill bit office COM byl zaveden v aktualizaci zabezpečení MS10-036, aby se zabránilo spuštění určitých objektů COM při vložených nebo propojených z dokumentů Office.
Funkce deaktivovaného bitu modelu COM byla v aktualizaci KB3178703 aktualizována tak, aby zcela zablokovala, aby office neaktivoval v procesu objekty COM. Tato aktualizace je nadmnožina původního chování, kdy kromě blokování objektů COM vložených nebo propojených v dokumentech Office se tím zablokují všechny instance objektů COM, které se načítá v rámci procesu Office, jiným způsobem, jako jsou doplňky.
Mezi tyto konkrétní objekty COM patří ovládací prvky ActiveX a objekty OLE. Prostřednictvím registru můžete nezávisle řídit, které objekty COM jsou při používání Office zablokované.
Poznámka:Nedoporučujeme odebrat de kill bit, který je nastavený pro objekt COM. Pokud to budete dělat, můžete vytvořit chyby zabezpečení. Dez kill bit je obvykle nastavený z důvodu, který může být důležitý. Proto musíte být velmi opatrní, když unkill ovládacího prvku ActiveX.
Pokud potřebujete vytvořit vztah k identifikátoru CLSID nového ovládacího prvku ActiveX (a tento ovládací prvek ActiveX byl změněn tak, aby se snížila hrozba zabezpečení), můžete přidat identifikátor AlternateCLSID (označovaný taky jako "Phoenix bit") s identifikátorem CLSID ovládacího prvku ActiveX, na který byl použit dezaktivátor modelu Office COM. Office podporuje AlternateCLSID jenom v případě, že se používají objekty COM ovládacího prvku ActiveX.
Poznámka: Seznam de kill bitů pro Office má přednost před seznamem de kill bitů pro Internet Explorer. U stejného ovládacího prvku ActiveX může být například nastavený deaktivní bit Office COM a deaktivování ActiveX v Internet Exploreru. AlternateCLSID je ale nastavené jenom v seznamu pro Internet Explorer. V tomto scénáři je konflikt mezi oběma nastaveními. V takových případech má přednost nastavení de kill bitu modelu COM Pro Office a ovládací prvek se nenačítá.
Nastavení de kill bitu Office COM
Důležité informace:
-
Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
-
322756Postup zálohování a obnovení registru v systému Windows
Umístění pro nastavení de kill bitu Office COM v registru je následující:
Pro Office 2013 a Office 2010:
-
Pro 64bitovou verzi Office v 64bitovém systému Windows (nebo 32bitovou verzi Office v 32bitovém systému Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Pro 32bitovou verzi Office v 64bitovém systému Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Pro Office 2016:
-
Pro 64bitovou verzi Office v 64bitovém systému Windows (nebo 32bitovou verzi Office v 32bitovém systému Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Pro 32bitovou verzi Office v 64bitovém systému Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
V tomto případě je identifikátor CLSID identifikátorem třídy objektu COM.
Pokud chcete povolit de kill bit Office COM, postupujte takto:
-
Přidejte podklíč registru společně s identifikátorem CLSID ovládacího prvku ActiveX nebo objektu OLE, který chcete blokovat načítání.
-
Přidejte REG_DWORD podklíč s názvem Příznaky kompatibility a nastavte jeho hodnotu na 0x00000400.
Pokud chcete například nastavit de kill bit Office COM pro objekt, který má identifikátor CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} v Office 2016, postupujte takto:
-
Vyhledejte následující podklíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Přidejte podklíč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V takovém případě je výsledná cesta následující:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Přidejte REG_DWORD podklíč s názvem Příznakykompatibility a nastavte jeho hodnotu na 0x00000400.
Deaktivovaný bit Office COM je teď nastavený tak, aby blokoval aktivaci tohoto objektu v Office.
Jak blokovat jenom modelu COM při propojování a vkládání scénářů
Jak už jsme zmínili, funkce de kill bitu modelu COM byla aktualizována tak, aby blokla všechny aktivace zadaných objektů COM z Office.
Pokud chcete blokovat jenom objekty COM vložené nebo propojené z dokumentů Office, postupujte takto:
-
Přidejte identifikátor CLSID do de kill bitu modelu COM podle pokynů v části Nastavení de killbitu Office(pokud ještě není v seznamu)
-
V podklíči identifikátoru CLSID, který je zablokovaný, přidejte hodnotu REG_DWORD s názvem ActivationFilterOverridea nastavte její hodnotu na 0x00000001.
Pokud chcete například nakonfigurovat de kill bit modelu COM tak, aby blokoval jenom scénáře propojení a vkládání pro objekt, který má v Office 2016 identifikátor CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, postupujte takto:
-
Vyhledejte následující podklíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Přidejte podklíč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V takovém případě je výsledná cesta následující:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Přidejte REG_DWORD do tohoto podklíče s názvem Příznakykompatibility a nastavte její hodnotu na 0x00000400.
-
Přidejte REG_DWORD podklíč s názvem ActivationFilterOverridea nastavte jeho hodnotu na 0x00000001.
De kill bit Office COM je teď nastavený tak, aby tento objekt COM blokovaný jenom v případě, že je propojený nebo vložený v dokumentech Office.
Ovládací prvky, které jsou ve výchozím nastavení zablokované aktivací
Ovládací prvek |
IDENTIFIKÁTOR CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
Zástupný název oddílu |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Dokument Microsoft HTA 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Skriptovací jazyk VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Script Language Authoring |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Kódování jazyka VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Kódování hostitele v jazyce VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Objekt Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Objekt Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Ovládací prvek Pythonu |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Ovládací prvky, které jsou ve výchozím nastavení zablokované v vkládání
Ovládací prvek |
IDENTIFIKÁTOR CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML Document for Popup Window |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Poznámka:Tento seznam je snímek blokovaných ovládacích prvků a může se změnit